TRA distrazioni e rovinose cadute in acqua, gli smartphone da riparare sono un incubo per tutti. Ma a questo spiacevole inconveniente, quando è possibile salvare il dispositivo con la sostituzione del pezzo danneggiato, si aggiunge una nuova preoccupazione legata alla sicurezza. Infatti, secondo un rapporto diffuso dall’università Ben-Gurion (.pdf), lo schermo sostituito potrebbe nascondere un hardware segreto in grado di attaccare i telefonini Android.
La preoccupazione lanciata dalla ricerca si fonda sulla constatazione di come gli schermi di sostituzione – uno inserito in un Huawei Nexus 6P e l’altro in un LG G Pad 7.0 – possano essere utilizzati per registrare le attività degli utenti sulla tastiera, installare applicazioni dannose, ma anche consentire agli hacker di scattare foto o mandare email dal cellulare preso di mira. Le schermate intrappolate hanno anche sfruttato le vulnerabilità del sistema operativo bypassando le principali protezioni di sicurezza integrate nei telefoni. I pezzi incriminati costano meno di 10 dollari e potrebbero essere facilmente prodotte in massa. Inoltre, potrebbe essere difficile distinguerle da quelle originali, una caratteristica che rischia di ingannare anche gli stessi tecnici. Non presentano alcun segno di manomissione, per capire se si tratta di un falso bisognerebbe smontare e ispezionare accuratamente il dispositivo. E questo comporta una grossa spesa.
“La minaccia di una periferica pericolosa all’interno dell’elettronica di consumo non dovrebbe essere presa alla leggera – scrivono i ricercatori della Ben-Gurion. – Gli attacchi possono essere fattibili, di massa e invisibili alla maggior parte delle tecniche di rilevamento. Un avversario ben motivato può essere pienamente in grado di sferrare attacchi su larga scala o contro obiettivi specifici”.
Ma quella dei pezzi di ricambio infettati è solo l’ennesima riprova delle falle dell’intero sistema. “I ‘cattivi’ non aspettano la sostituzione dello schermo per colpire, il problema è molto più ampio – sottolinea Andrea Zapparoli Manzoni, membro del direttivo Clusit (Associazione italiana per la sicurezza informatica) ed esperto di cybercrime – l’informatica di consumo è progettata per ottimizzare gli aspetti utili alla vendita, tralasciando la sicurezza”. “La questione chiave è che non ci sono controlli sulla catena dei fornitori. A causa della globalizzazione, le componenti vengono prodotte per la maggior parte in Estremo Oriente e non esistono norme di certificazione alle quali attenersi. Per non parlare delle migliaia di app scaricate e di cui non sappiamo nulla”.
I rischi continueranno a moltiplicarsi, perché, spiega Zapparoli Manzoni “l’importante è avere un dispositivo che funzioni e a prezzi accessibili, anche se non è chiaro da chi viene sviluppato e assemblato. La filiera è fuori controllo”. Avere smartphone affidabili richiede investimenti difficili da sostenere. “Se per un’auto o un semplice frullatore esistono normative condivise, nel settore dell’informatica questo non avviene. Le misure minime di sicurezza sono ridicole. Gli attacchi informatici, anche quelli più gravi, non hanno un impatto tale da produrre reazioni forti o azioni politiche incisive. La notizia non viene percepita nella sua gravità. Servirà tempo e dure battaglie per introdurre un sistema di certificazione sicuro anche in questo campo”.
Ma nel frattempo, c’è un modo per difendersi dagli hacker nel nostro piccolo. L’esperto propone tre semplici regole: ridurre le superfici di attacco, cioè sbarazzarsi di tutto ciò che non serve, dalle app ai mille social; separare gli ambiti, cioè avere dispositivi diversi su reti diverse per gestire la propria vita online, separando le cose importanti da quelle che lo sono meno; separare gli account, utilizzando ogni volta password differenti. Ci vuole insomma una buona dose di buon senso per prevenire gli attacchi, in attesa di un cambio di rotta effettivo nel settore.
Lascia un commento